Configurar segurança de utilizador num ambiente

O Microsoft Dataverse utiliza um modelo de segurança baseado em funções para controlar o acesso a uma base de dados e aos respetivos recursos num ambiente. Utilize direitos de acesso para configurar o acesso a todos os recursos num ambiente ou a aplicações e dados específicos no ambiente. Uma combinação de níveis de acesso e de permissões num direito de acesso determina que aplicações e dados os utilizadores podem ver e como podem interagir com essas aplicações e dados.

Um ambiente pode não ter qualquer base de dados ou uma do Dataverse. Atribui direitos de acesso de forma diferente a ambientes sem base de dados do Dataverse e a ambientes com uma base de dados do Dataverse.

Mais informações sobre os ambientes no Power Platform.

Direitos de acesso predefinidos

Os ambientes incluem direitos de acesso predefinidos que refletem tarefas de utilizador comuns. Os direitos de acesso predefinidos seguem a melhor prática de segurança de "acesso mínimo obrigatório": forneça o acesso mínimo aos dados de negócio mínimos de que um utilizador necessita para usar uma aplicação. Estes direitos de acesso podem ser atribuídos a um utilizador, equipa proprietária e equipa de grupo. Os direitos de acesso predefinidos disponíveis num ambiente dependem do tipo de ambiente e das aplicações que instalou nele.

Outro conjunto de direitos de acesso é atribuído aos utilizadores da aplicação. Estes direitos de acesso são instalados pelos nossos serviços e não podem ser atualizados.

Ambientes sem uma base de dados do Dataverse

O criador do ambiente e o administrador do ambiente são as únicas funções predefinidas para ambientes sem base de dados Dataverse. Estas funções são descritas na tabela seguinte.

Direito de acesso Descrição
Administrador do Ambiente A função Administrador de Ambiente pode efetuar todas as ações administrativas num ambiente, incluindo:
  • Adicionar ou remover um utilizador da função Administrador de Ambiente ou Criador de Ambiente.
  • Aprovisione uma base de dados do Dataverse para o ambiente. Depois de uma base de dados ser aprovisionada, atribua a função Personalizador de Sistemas a um Administrador de Ambiente para lhe conceder acesso aos dados do ambiente.
  • Ver e gerir todos os recursos criados num ambiente.
  • Crie políticas de prevenção de perda de dados.
Criador de Ambientes Pode criar novos recursos associados a um ambiente incluindo aplicações, ligações, APIs personalizadas, gateways e fluxos utilizando o Microsoft Power Automate. No entanto, esta função não tem privilégios para aceder a dados num ambiente.

Os criadores de ambientes também podem distribuir as aplicações que criam num ambiente para outros utilizadores na organização. Podem partilhar a aplicação com utilizadores individuais, grupos de segurança ou todos os utilizadores na organização.

Ambientes com uma base de dados do Dataverse

Se o ambiente tiver uma Dataverse base de dados, tem de ser atribuído um utilizador à função de Administrador do Sistema em vez da função de Administrador do Ambiente para obter os privilégios de administrador totais.

Os utilizadores que criam aplicações que se ligam à base de dados e precisam de criar ou atualizar entidades e direitos de acesso, têm de ter a função de Personalizador de Sistemas para além da função de Criador de Ambientes. A função de Criador de Ambientes não tem privilégios nos dados do ambiente.

A tabela seguinte descreve os direitos de acesso predefinidos num ambiente com uma base de dados do Dataverse. Não pode editar estas funções.

Direito de acesso Descrição
Abridor de Aplicações Tem privilégios mínimos para tarefas comuns. Esta função é utilizada principalmente como modelo para criar uma direito de acesso personalizado para aplicações condicionadas por modelo. Não tem quaisquer privilégios para as tabelas de negócio centrais, tais como Conta, Contacto e Atividade. No entanto, tem acesso de leitura ao nível da Organização às tabelas do sistema, como Processar, para suportar a leitura de fluxos de trabalho fornecidos pelo sistema. Note que este direito de acesso é usado quando um novo direito de acesso personalizado é criado.
Utilizador Básico Apenas para entidades de origem, pode executar uma aplicação no ambiente e efetuar tarefas comuns nos registos que possuem. Tem privilégios para as tabelas de negócio centrais, tais como Conta, Contacto e Atividade.

Nota: O direito de acesso de Utilizador do Common Data Service foi renomeado para Utilizador Básico. Apenas o nome foi alterado; os privilégios de utilizador e a atribuição de funções são os mesmos. Se tiver uma solução com o direito de acesso de Utilizador do Common Data Service, deve atualizar a solução antes de a importar novamente. Caso contrário, poderá inadvertidamente alterar o nome do direito de acesso de volta para Utilizador quando importar a solução.
Delegado Permite que o código represente ou execute como outro utilizador. Normalmente, utilizado com outro direito de acesso para permitir o acesso aos registos.
Administrador do Dynamics 365 O administrador do Dynamics 365 é uma função de administração de serviço do Microsoft Power Platform. Esta função pode efetuar funções de admin no Microsoft Power Platform porque têm a função de administrador do sistema.
Criador de Ambientes Pode criar novos recursos associados a um ambiente incluindo aplicações, ligações, APIs personalizadas, gateways e fluxos utilizando o Microsoft Power Automate. No entanto, esta função não tem privilégios para aceder a dados num ambiente.

Os criadores de ambientes também podem distribuir as aplicações que criam num ambiente para outros utilizadores na organização. Podem partilhar a aplicação com utilizadores individuais, grupos de segurança ou todos os utilizadores na organização.
Administrador Global do Administrador global é uma função de administrador do Microsoft 365. Uma pessoa que compra a subscrição de empresa da Microsoft é um administrador global e tem controlo ilimitado sobre produtos na subscrição e acesso à maior parte dos dados.
Leitor Global A função de Leitor Global ainda não é suportada no centro de administração do Power Platform.
Colaborador do Office Tem permissão de Ler para tabelas em que um registo foi partilhado com a organização. Não tem acesso a nenhum outro núcleo e registos de tabelas personalizados. Esta função é atribuída à equipa de proprietários de Colaboradores do Office e não a um utilizador individual.
Administrador do Power Platform Administrador do Power Platform é uma função de administrador do serviço do Microsoft Power Platform. Esta função pode efetuar funções de admin no Microsoft Power Platform porque têm a função de administrador do sistema.
Serviço Eliminado Tem permissão total de Eliminação para todas as entidades, incluindo entidades personalizadas. Esta função é usada principalmente pelo serviço e requer a eliminação de registos em todas as entidades. Esta função não pode ser atribuída a um utilizador ou a uma equipa.
Leitor do Serviço Tem permissão total de Leitura para todas as entidades, incluindo entidades personalizadas. Esta função é usada principalmente pelo serviço e requer a leitura de todas as entidades. Esta função não pode ser atribuída a um utilizador ou a uma equipa.
Escritor do Serviço Tem permissão total para Criar, Ler e Escrever para todas as entidades, incluindo entidades personalizadas. Esta função é usada principalmente pelo serviço e requer a criação e atualização de registos. Esta função não pode ser atribuída a um utilizador ou a uma equipa.
Utilizador de Suporte Tem permissão total de Leitura para as definições de personalização e gestão de negócio, que permite ao pessoal de suporte resolver problemas de configuração do ambiente. Esta função não tem acesso aos registos centrais. Esta função não pode ser atribuída a um utilizador ou a uma equipa.
Administrador de Sistema Tem permissão para personalizar ou administrar o ambiente na totalidade, incluindo criar, modificar e atribuir direitos de acesso. Pode ver todos os dados no ambiente.
Personalizador de Sistemas Tem permissão para personalizar o ambiente totalmente. Pode ver todos os dados da tabela personalizada no ambiente. No entanto, os utilizadores com esta função só podem ver registos que criam nas tabelas Conta, Contacto e Atividade.
Proprietário da Aplicação do Site Um utilizador que é proprietário do registo da aplicação do site no portal do Azure.
Proprietário do Site O utilizador que criou o site do Power Pages. Esta função é gerida e não pode ser alterada.

Para além dos direitos de acesso predefinidos descritos para o Dataverse, podem estar disponíveis outros direitos de acesso no ambiente, dependendo dos componentes do Power Platform: Power Apps, Power Automate, Power Virtual Agents — que tiver. A tabela que se segue fornece ligações para obter mais informações.

Componente do Power Platform Informações
Power Apps Direitos de acesso predefinidos para ambientes com uma base de dados do Dataverse
Power Automate Segurança e privacidade
Power Pages Funções necessárias para a administração do site
Power Virtual Agents Atribuir direitos de acesso de ambiente

Dataverse for Teams ambientes

Mais informações sobre direitos de acesso predefinidos em ambientes do Dataverse for Teams.

Direitos de acesso específicos da aplicação

Se implementar aplicações do Dynamics 365 no seu ambiente, serão adicionados outros direitos de acesso. A tabela que se segue fornece ligações para obter mais informações.

Aplicação do Dynamics 365 Documentos do direito de acesso
Vendas do Dynamics 365 Direitos de acesso predefinidos para o Sales
Dynamics 365 Marketing Direitos de acesso adicionados pelo Dynamics 365 Marketing
Dynamics 365 Field Service Funções + definições do Dynamics 365 Field Service
Dynamics 365 Customer Service Funções no Omnicanal para Customer Service
Dynamics 365 Customer Insights Funções do Customer Insights
Gestor de perfis de aplicações Funções e privilégios associados ao gestor de perfis de aplicações
Dynamics 365 Finance Direitos de acesso no setor público
Aplicações de finanças e operações Direitos de acesso no Microsoft Power Platform

Resumo dos recursos disponíveis para direitos de acesso predefinidos

A tabela a seguir descreve que recursos podem ser criados por cada direito de acesso.

recurso Criador de Ambientes Administrador do Ambiente Personalizador de Sistemas Administrador de Sistema
Aplicação de tela X X X X
Fluxo de cloud X (deteção de não solução) X X X
Conector X (deteção de não solução) X X X
Ligação* X X X X
Gateway de dados X X - X
Fluxo de Dados X X - X
Tabelas do Dataverse - - X X
Aplicação condicionada por modelo X - X X
Arquitetura da solução X - X X
Fluxo de ambiente de trabalho** - - X X
AI Builder - - X X

*As ligações são utilizadas em aplicações de tela e Power Automate.

**Por predefinição, os utilizadores do Dataverse for Teams não obtêm acesso a fluxos de ambiente de trabalho. Necessita de atualizar a versão do seu ambiente para capacidades completas do Dataverse e comprar planos de licença de fluxo de ambiente de trabalho para utilizar fluxos de ambiente de trabalho.

Atribuir direitos de acesso a utilizadores num ambiente que não tem nenhuma base de dados Dataverse

Para ambientes sem base de dados do Dataverse, um utilizador que tenha a função de Administrador de Ambientes no ambiente pode atribuir direitos de acesso a utilizadores individuais ou a grupos a partir do ID do Microsoft Entra.

  1. Inicie sessão no centro de administração do Power Platform.

  2. Selecione Ambientes> [selecionar um ambiente].

  3. No mosaico Acesso, selecione Ver tudo para Administrador de Ambiente ou Criador do ambiente para adicionar ou remover pessoas de cada função.

    Captura de ecrã da seleção de um direito de acesso no centro de administração do Power Platform.

  4. Selecione Adicionar pessoas e, em seguida, especifique o nome ou endereço de e-mail de um ou mais utilizadores ou grupos a partir do ID do Microsoft Entra.

    Captura de ecrã da adição de utilizadores à função de Criador de Ambientes no centro de administração do Power Platform.

  5. Selecione Adicionar.

Atribuir direitos de acesso a utilizadores num ambiente com uma base de dados Dataverse

Os direitos de acesso podem ser atribuídos a utilizadores individuais, equipas proprietárias e equipas de grupos do Microsoft Entra. Antes de atribuir uma função a um utilizador, verifique se a conta do utilizador foi adicionada ao ambiente e se está ativada.

Em geral, um direito de acesso só pode ser atribuído aos utilizadores cujas contas estão ativadas no ambiente. Para atribuir um direito de acesso a uma conta de utilizador que esteja desativada no ambiente, ative allowRoleAssignmentOnDisabledUsers em OrgDBOrgSettings.

  1. Inicie sessão no centro de administração do Power Platform.

  2. Selecione Ambientes> [selecionar um ambiente].

  3. No mosaico Acesso, selecione Ver tudo em Direitos de acesso.

    Captura de ecrã da opção para ver todos os direitos de acesso no centro de administração do Power Platform.

  4. Certifique-se de que a unidade de negócio certa está selecionada na lista e, em seguida, selecione uma função da lista de funções no ambiente.

  5. Selecione Adicionar pessoas e, em seguida, especifique o nome ou endereço de e-mail de um ou mais utilizadores ou grupos a partir do ID do Microsoft Entra.

  6. Selecione Adicionar.

Criar, editar ou copiar um direito de acesso utilizando a nova IU moderna

Pode criar, editar ou copiar facilmente um direito de acesso e personalizá-lo para o adaptar às suas necessidades.

  1. Aceda ao centro de administração do Power Platform, selecione Ambientes no painel de navegação e, em seguida, selecione um ambiente.

  2. Selecione Definições.

  3. Expandir Utilizadores + Permissões.

  4. Selecionar Direitos de acesso.

  5. Conclua a tarefa adequada:

Criar um direito de acesso

  1. Selecione Nova função na barra de comandos.

  2. No campo Nome da Função, introduza um nome para a nova função.

  3. No campo Unidade de negócio, selecione a unidade de negócio a que a função pertence.

  4. Selecione se os membros da equipa devem herdar a função.

    Se esta definição estiver ativada e a função for atribuída a uma equipa, todos os membros da equipa herdam todos os privilégios associados à função.

  5. Selecione Guardar.

  6. Definir os privilégios e as propriedades do direito de acesso.

Editar um direito de acesso

Selecione o nome da função ou selecione a linha e, em seguida, selecione Editar. Em seguida, defina os privilégios e as propriedades do direito de acesso.

Alguns direitos de acesso predefinidos não podem ser editados. Se tentar editar estas funções, os botões Guardar e Guardar + Fechar não estão disponíveis.

Copiar um direito de acesso

Selecione o direito de acesso e, em seguida, selecione Copiar. Dê um nome nova à função. Editar o direito de acesso, conforme necessário.

Só os privilégios são copiados, não os membros e as equipas atribuídos.

Direitos de acesso de auditoria

Auditar direitos de acesso para melhor compreender as alterações e feitas aos direitos de acesso no seu ambiente do Power Platform.

Criar ou configurar um direito de acesso personalizado

Se a sua aplicação utilizar uma entidade personalizada, é necessário conceder explicitamente os seus privilégios num direito de acesso para que a sua aplicação possa ser utilizada. Pode adicionar estes privilégios a um direito de acesso existente ou criar um direito de acesso personalizado.

Todos os direito de acesso têm de incluir um conjunto mínimo de privilégios. Mais informações sobre direitos de acesso e privilégios.

Gorjeta

O ambiente poderá manter registos que possam ser utilizados por várias aplicações. Poderão ser necessários vários direitos de acesso que concedam privilégios diferentes. Por exemplo:

  • Alguns dos utilizadores (chamados Editores) poderão apenas só precisar de ler, atualizar e anexar outros registos, pelo que a sua função de segurança terá privilégios para ler, escrever e anexar.
  • Outros utilizadores poderão precisar de todos os privilégios que os Editores têm, além da capacidade de criar, anexar, eliminar e partilhar. O direito de acesso para estes utilizadores terá os privilégios criar, ler, escrever, anexar, eliminar, atribuir e partilhar.

Criar um direito de acesso personalizado com privilégios mínimos para executar uma aplicação

  1. Inicie sessão no centro de administração do Power Platform, selecione Ambientes no painel de navegação e, em seguida, selecione um ambiente.

  2. Selecione Definições>Utilizadores + permissões>Direitos de acesso.

  3. Selecione a função de Abridor de Aplicações e, em seguida, selecione Copiar.

  4. Introduza o nome da função personalizada e, em seguida, selecione Copiar.

  5. Na lista de direitos de acesso, selecione a nova função e, em seguida, selecione Mais ações (...) >Editar.

  6. No editor de funções, selecione o separador Entidades Personalizadas.

  7. Encontre a sua tabela personalizada na lista e selecione os privilégios Ler, Escrever e Anexar.

  8. Selecione Guardar e Fechar.

Criar um direito de acesso personalizado de raiz

  1. Inicie sessão no centro de administração do Power Platform, selecione Ambientes no painel de navegação e, em seguida, selecione um ambiente.

  2. Selecione Definições>Utilizadores + permissões>Direitos de acesso.

  3. Selecione Nova função.

  4. Introduza o nome da nova função no separador Detalhes.

  5. Noutros separadores, encontre a entidade e, em seguida, selecione as ações e o âmbito para as efetuar.

  6. Selecione um separador e procure a sua entidade. Por exemplo, selecione o separador Entidades Personalizadas para definir permissões numa entidade personalizada.

  7. Selecione os privilégios Ler, Escrever, Anexar.

  8. Selecione Guardar e Fechar.

Privilégios mínimos para executar uma aplicação

Quando cria um direito de acesso personalizado, a função tem de ter um conjunto de privilégios mínimos para que um utilizador execute uma aplicação. Mais informações sobre privilégios mínimos requeridos.

Consulte também

Conceder acesso aos utilizadores
Controlar o acesso de utilizador a ambientes: grupos de segurança e licenças
Como é determinado o acesso a um registo